Gli errori di autenticazione VPN sono in genere causati da una mancata corrispondenza della configurazione tra l'SDDC e gli endpoint VPN locali. Sebbene questi valori in genere impediscano la creazione della VPN, possono anche rendere inattiva una VPN funzionante quando uno degli endpoint viene riconfigurato.

Problema

Mancata visualizzazione di una nuova VPN in seguito alla sua creazione, oppure errore di una VPN funzionante dopo che una delle estremità è stata aggiornata o riconfigurata.

Causa

La negoziazione IKE è composta da due fasi:
  • Nella fase 1, gli endpoint peer stabiliscono un'associazione di sicurezza (SA) IKE, che fornisce un canale sicuro per la comunicazione tra gli endpoint.
  • Nella fase 2, gli endpoint utilizzano l'associazione di sicurezza per negoziare uno scambio di chiavi utilizzando la chiave precondivisa immessa durante la creazione della VPN.
Gli errori della fase 1 possono verificarsi quando i valori ID remoto e ID locale non sono coerenti. Gli errori della fase 2 possono verificarsi quando i peer sono configurati con chiavi precondivise differenti.

Soluzione

  1. Verificare che le chiavi precondivise siano esattamente le stesse su ciascun lato. Assicurarsi di verificare la presenza di spazi vuoti su entrambe le estremità della stringa della chiave.
  2. Se si utilizzano caratteri speciali nella chiave precondivisa, provare a utilizzare una chiave precondivisa che non contenga caratteri speciali, nel caso in cui un lato non sia in grado di interpretarli correttamente.
  3. Assicurarsi che l'ID remoto su ciascun lato corrisponda all'ID locale utilizzato dal peer. In genere, si tratta dell'indirizzo IP pubblico. Tuttavia, quando un lato si trova dietro un router NAT, potrebbe invece utilizzare l'IP privato, il quale dovrà essere immesso manualmente come ID remoto nella configurazione del peer. Questo ID fa parte dell'autenticazione, pertanto una mancata corrispondenza causerà un errore di autenticazione.
  4. Assicurarsi che sia configurata la stessa versione IKE per entrambi gli endpoint. Le VPN di VMware Cloud on AWS forniscono inoltre una versione IKE FLEX che deve essere compatibile con IKEv1 o IKEv2.
  5. Assicurarsi che sia configurata la stessa modalità IKE per entrambi gli endpoint. Le VPN di VMware Cloud on AWS non supportano la modalità aggressiva IKE.